Vulnerabilidad en las peticiones HTTP en el dispositivo en la aplicación box en los codificadores de video IPTV/H.264/H.265 basados ??en HiSilicon (CVE-2020-24215)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-798
Credenciales embebidas en el software
Fecha de publicación:
06/10/2020
Última modificación:
20/10/2020
Descripción
Se detectó un problema en la aplicación box en los codificadores de video IPTV/H.264/H.265 basados ??en HiSilicon. Unos atacantes pueden usar credenciales embebidas en las peticiones HTTP para llevar a cabo cualquier tarea administrativa en el dispositivo, incluyendo la recuperación de la configuración del dispositivo (con la contraseña de administrador en texto sin cifrar) y la carga de una actualización de firmware personalizada, para finalmente lograr una ejecución de código arbitrario
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:szuray:iptv\/h.264_video_encoder_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:szuray:uaioe264-1u:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:szuray:uce264-1-mini:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:szuray:uce264-1wb-mini:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:szuray:uce264-4-1u:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:szuray:uce264-8-1u:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:szuray:uhae264-16:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:szuray:uhce264-1:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:szuray:uhce264-16p32:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:szuray:uhce264-1p2:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:szuray:uhce264-1p2-1u:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:szuray:uhce264-1s:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:szuray:uhce264-1w:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:szuray:uhce264-1ws:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:szuray:uhce264-4p8:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página